工作,学习,生活,这里将会有一些记录. 备用域名:http://meisw.wdlinux.cn 注册 | 登陆
浏览模式: 标准 | 列表全部文章

php-fpm.conf重要参数详解

Submitted by admin on 2017, April 23, 2:05 PM

 pid = run/php-fpm.pid

#pid设置,默认在安装目录中的var/run/php-fpm.pid,建议开启
 
error_log = log/php-fpm.log
#错误日志,默认在安装目录中的var/log/php-fpm.log
 
log_level = notice
#错误级别. 可用级别为: alert(必须立即处理), error(错误情况), warning(警告情况), notice(一般重要信息), debug(调试信息). 默认: notice.
 
emergency_restart_threshold = 60
emergency_restart_interval = 60s
#表示在emergency_restart_interval所设值内出现SIGSEGV或者SIGBUS错误的php-cgi进程数如果超过 emergency_restart_threshold个,php-fpm就会优雅重启。这两个选项一般保持默认值。
 
process_control_timeout = 0
#设置子进程接受主进程复用信号的超时时间. 可用单位: s(秒), m(分), h(小时), 或者 d(天) 默认单位: s(秒). 默认值: 0.
 
daemonize = yes
#后台执行fpm,默认值为yes,如果为了调试可以改为no。在FPM中,可以使用不同的设置来运行多个进程池。 这些设置可以针对每个进程池单独设置。
 
listen = 127.0.0.1:9000
#fpm监听端口,即nginx中php处理的地址,一般默认值即可。可用格式为: 'ip:port', 'port', '/path/to/unix/socket'. 每个进程池都需要设置.
 
listen.backlog = -1
#backlog数,-1表示无限制,由操作系统决定,此行注释掉就行。backlog含义参考:http://www.3gyou.cc/?p=41
 
listen.allowed_clients = 127.0.0.1
#允许访问FastCGI进程的IP,设置any为不限制IP,如果要设置其他主机的nginx也能访问这台FPM进程,listen处要设置成本地可被访问的IP。默认值是any。每个地址是用逗号分隔. 如果没有设置或者为空,则允许任何服务器请求连接
 
listen.owner = www
listen.group = www
listen.mode = 0666
#unix socket设置选项,如果使用tcp方式访问,这里注释即可。
 
user = www
group = www
#启动进程的帐户和组
 
pm = dynamic #对于专用服务器,pm可以设置为static。
#如何控制子进程,选项有static和dynamic。如果选择static,则由pm.max_children指定固定的子进程数。如果选择dynamic,则由下开参数决定:
pm.max_children #,子进程最大数
pm.start_servers #,启动时的进程数
pm.min_spare_servers #,保证空闲进程数最小值,如果空闲进程小于此值,则创建新的子进程
pm.max_spare_servers #,保证空闲进程数最大值,如果空闲进程大于此值,此进行清理
 
pm.max_requests = 1000
#设置每个子进程重生之前服务的请求数. 对于可能存在内存泄漏的第三方模块来说是非常有用的. 如果设置为 '0' 则一直接受请求. 等同于 PHP_FCGI_MAX_REQUESTS 环境变量. 默认值: 0.
 
pm.status_path = /status
#FPM状态页面的网址. 如果没有设置, 则无法访问状态页面. 默认值: none. munin监控会使用到
 
ping.path = /ping
#FPM监控页面的ping网址. 如果没有设置, 则无法访问ping页面. 该页面用于外部检测FPM是否存活并且可以响应请求. 请注意必须以斜线开头 (/)。
 
ping.response = pong
#用于定义ping请求的返回相应. 返回为 HTTP 200 的 text/plain 格式文本. 默认值: pong.
 
request_terminate_timeout = 0
#设置单个请求的超时中止时间. 该选项可能会对php.ini设置中的'max_execution_time'因为某些特殊原因没有中止运行的脚本有用. 设置为 '0' 表示 'Off'.当经常出现502错误时可以尝试更改此选项。
 
request_slowlog_timeout = 10s
#当一个请求该设置的超时时间后,就会将对应的PHP调用堆栈信息完整写入到慢日志中. 设置为 '0' 表示 'Off'
 
slowlog = log/$pool.log.slow
#慢请求的记录日志,配合request_slowlog_timeout使用
 
rlimit_files = 1024
#设置文件打开描述符的rlimit限制. 默认值: 系统定义值默认可打开句柄是1024,可使用 ulimit -n查看,ulimit -n 2048修改。
 
rlimit_core = 0
#设置核心rlimit最大限制值. 可用值: 'unlimited' 、0或者正整数. 默认值: 系统定义值.
 
chroot =
#启动时的Chroot目录. 所定义的目录需要是绝对路径. 如果没有设置, 则chroot不被使用.
 
chdir =
#设置启动目录,启动时会自动Chdir到该目录. 所定义的目录需要是绝对路径. 默认值: 当前目录,或者/目录(chroot时)
 
catch_workers_output = yes
#重定向运行过程中的stdout和stderr到主要的错误日志文件中. 如果没有设置, stdout 和 stderr 将会根据FastCGI的规则被重定向到 /dev/null . 默认值: 空.

http://www.cnblogs.com/argb/p/3604340.html

nginx | 评论:0 | Trackbacks:0 | 阅读:830

Nginx一个server主机上80、433http、https共存

Submitted by admin on 2017, April 22, 8:28 PM

 如果一站点既要80 http访问,又要443https访问。

要让https和http并存,不能在配置文件中使用ssl on,配置listen 443 ssl;

实例

server
{

listen 80;
listen 443 ssl;
server_name www.iamle.com;
index index.html index.htm index.php;
root /home/wwwroot/www.iamle.com/;
#ssl on; 这里要注释掉
ssl_certificate /usr/local/nginx/conf/www_iamle_com.crt;
ssl_certificate_key /usr/local/nginx/conf/www_iamle_com.key;

#以下配置省略

}

 

nginx | 评论:0 | Trackbacks:0 | 阅读:763

nginx 80端口重定向到443 http访问自动跳转到https

Submitted by admin on 2017, April 22, 8:27 PM

 分享nginx下http访问自动跳转到https上,即nginx 80端口重定向到443端口。配置如下:

一、按照如下格式修改nginx.conf 配置文件,80端口会自动转给443端口,这样就强制使用SSL证书加密了。访问http的时候会自动跳转到https上面。

server {
listen 80;
server_name www.域名.com;
rewrite ^(.*) https://$server_name$1 permanent;
}
server {
listen 443;
server_name www.域名.com;
root /home/www;
ssl on;
ssl_certificate /etc/nginx/certs/server.crt;
ssl_certificate_key /etc/nginx/certs/server.key;
}

二、修改配置文件后,重启nginx。

nginx | 评论:0 | Trackbacks:0 | 阅读:755

pure-ftpd.conf

Submitted by admin on 2017, April 22, 12:31 PM

ChrootEveryone              yes     # 启用chroot
BrokenClientsCompatibility  yes     # 兼容不同客户端
Daemonize                   yes     # 后台运行
MaxClientsPerIP             20      # 每个ip最大连接数
VerboseLog                  yes     # 记录日志
DisplayDotFiles             no      # 显示隐藏文件
AnonymousOnly               yes     # 只允许匿名用户访问
NoAnonymous                 no      # 运行匿名用户连接
SyslogFacility              none        # 不将日志在syslog日志中显示
DontResolve                 yes     # 不进行客户端DNS解析
MaxIdleTime                 15      # 最大空闲时间
LimitRecursion              2000 8      # 浏览限制,文件2000,目录8层
AnonymousCanCreateDirs      yes     # 匿名用户可以创建目录
MaxLoad                     4           # 超出负载后禁止下载
PassivePortRange            45000 50000 # 被动模式端口范围
AnonymousRatio              1 10        # 匿名用户上传/下载比率
AntiWarez                   yes     # 禁止下载匿名用户上传但未经验证的文件
AnonymousBandwidth          200     # 匿名用户带宽限制(KB)
Umask                       133:022     # 创建文件/目录默认掩码
MinUID                      100     # 最大UID限制
AllowUserFXP                no      # 仅运行用户进行FXP传输
AllowAnonymousFXP           no      # 对匿名用户和非匿名用户允许进行匿名 FXP 传输
ProhibitDotFilesWrite       no      # 不能删除/写入隐藏文件
ProhibitDotFilesRead        no      # 禁止读取隐藏文件
AutoRename                  yes     # 有同名文件时自动重新命名
AnonymousCantUpload         no      # 不允许匿名用户上传文件
AltLog                      clf:/var/log/pureftpd.log   # clf格式日志文件位置
MaxDiskUsage                99      # 当磁盘使用量打到99%时禁止上传
CustomerProof               yes     # 防止命令误操作



重置用户属性
要禁用文件数配额,执行 pure-pw usermod -n ”
要禁用文件大小配额,执行 pure-pw usermod -N ”
要禁用上传/下载比率,执行 pure-pw usermod -q ” -Q ”
要禁用下载带宽限制,执行 pure-pw usermod -t ”
要禁止上传带宽限制,执行 pure-pw usermod -T ”
要禁止IP地址过滤,使用 pure-pw usermod <-i,-I,-r or -R> ”
要禁止登陆时间限制,执行 pure-pw usermod -z ”
要禁止最大并发数控制,执行 pure-pw usermod -y ”

ftp | 评论:0 | Trackbacks:0 | 阅读:681

golang exec交互执行

Submitted by admin on 2017, April 21, 11:03 PM

 package main

    import (     "bytes"     "fmt"     "os/exec" )     func main() {     in := bytes.NewBuffer(nil)     cmd := exec.Command("sh")     cmd.Stdin = in     go func() {         in.WriteString("echo hello world > test.txt\n")         in.WriteString("exit\n")     }()     if err := cmd.Run(); err != nil {         fmt.Println(err)         return     } }

golang | 评论:0 | Trackbacks:0 | 阅读:727

bind DNSSEC

Submitted by admin on 2017, April 20, 10:34 PM

 

BIND简易教程(3):DNSSec配置

http://www.cnblogs.com/anpengapple/p/5879363.html
 
DNS BIND之dnssec安全实例配置-根节点
http://blog.csdn.net/zhu_tianwei/article/details/45075577
 

用 BIND 搭建高可用性 DNSSEC 仅权威服务器

https://www.v2ex.com/t/143009

dns | 评论:0 | Trackbacks:0 | 阅读:702

VMware Workstation克隆CentOS 没有网卡eth0 无法开启网络服务

Submitted by admin on 2017, April 17, 6:31 PM

 

解决办法:

因为这台虚拟机是通过克隆而来,MAC地址和源虚拟机一样,因此需要修改MAC地址 
步骤如下: 
1.vi /etc/sysconfig/network-scripts/ifcfg-eth0 
将HWADDR修改为: 
在虚拟机设置中

2.删除 /etc/udev/rules.d/70-persistent-net.rules 然后重启 
rm /etc/udev/rules.d/70-persistent-net.rules 
reboot

-------------

cat /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE="eth1"

 

BOOTPROTO="static"

 


linux | 评论:0 | Trackbacks:0 | 阅读:693

Nginx支持多域名ssl证书

Submitted by admin on 2017, April 12, 10:05 PM

 接下来我们详细叙述一下能让nginx支持多域名证书的过程,主要分为如下两个大步骤:编译安装openssl和编译安装nginxnginx平滑升级,不影响业务)。

一、编译安装openssl

wget http://www.openssl.org/source/openssl-0.9.8l.tar.gz

tar zxvf ./openssl-0.9.8l.tar.gz

cd ./openssl-0.9.8l

#编译的时候需要加上enable-tl***t参数

./config enable-tl***t

make

make install

二、编译安装nginxnginx平滑升级)

tar xzvf nginx-1.0.12.tar.gz

cd nginx-1.0.12

#备份原来的nginx配置

mv /usr/local/nginx /usr/local/nginx_old

#安装nginx

./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_gzip_static_module  --with-http_stub_status_module --with-openssl=../openssl-0.9.8l/

make;make install

cd /usr/local/nginx

#备份新安装的配置目录

mv conf conf_bak

mv logs logs_bak

#拷贝原来的配置文件目录

cp -ar /usr/local/nginx_old/conf .

cp -ar /usr/local/nginx_old/logs .

#测试配置文件

/usr/local/nginx/sbin/nginx -t

#查找nginx主进程

ps -ef | grep "nginx: master process" | grep -v "grep" | awk -F ' ' '{print $2}'

#执行切换操作

kill -USR2 912

kill -WINCH 912

kill -QUIT 912

 

安装完成使用/usr/local/nginx/sbin/nginx  -V查看一下是否支持TLS SNI,检测如下:

nginx version: nginx/1.0.12

TLS SNI support enabled

configure arguments: --prefix=/usr/local/nginx --with-http_ssl_module --with-http_gzip_static_module --with-http_stub_status_module --with-openssl=../openssl-0.9.8l/

Ok,显示已经支持了TLS SNI,在输入https访问,终于能显示正确的证书了! 注意目前如果使用xp上的IE去访问的话还是会提示证书有问题,因为xp上任何版本的IE都不支持TLS SNI

 
 这里说下Linux 系统怎么通过openssl命令生成 证书。

  首先执行如下命令生成一个key
  openssl genrsa -des3 -out ssl.key 1024
  然后他会要求你输入这个key文件的密码。不推荐输入。因为以后要给nginx使用。每次reload nginx配置时候都要你验证这个PAM密码的。
  由于生成时候必须输入密码。你可以输入后 再删掉。

  mv ssl.key xxx.key
  openssl rsa -in xxx.key -out ssl.key
   rm xxx.key
   然后根据这个key文件生成证书请求文件
   openssl req -new -key ssl.key -out ssl.csr
   以上命令生成时候要填很多东西 一个个看着写吧(可以随便,毕竟这是自己生成的证书)

    最后根据这2个文件生成crt证书文件
   openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt
    这里365是证书有效期 推荐3650哈哈。这个大家随意。最后使用到的文件是key和crt文件。

    如果需要用pfx 可以用以下命令生成
    openssl pkcs12 -export -inkey ssl.key -in ssl.crt -out ssl.pfx

    在需要使用证书的nginx配置文件的server节点里加入以下配置就可以了。
   ssl on;
   ssl_certificate /home/ssl.crt;
   ssl_certificate_key /home/ssl.key;
   ssl_session_timeout 5m;
   ssl_protocols SSLv2 SSLv3 TLSv1;
   ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
   ssl_prefer_server_ciphers on;
    然后重启nginx就大功告成了

nginx | 评论:0 | Trackbacks:0 | 阅读:741

Records:1075«14151617181920212223»